Re: [GTER] Cisco 2600 - 2 Links Internet - Problemas de naveação

[Julio Arruda]

Diogo Duarte wrote:
> Pessoal, boa tarde, estou passando por um problema e por isto pesso a
> ajudade de vocês!
> 
> Minha empresa possui uma aplicação VoIP onde há um softswitch em SP
> gerenciando GW's de voz em todo Brasil. Toda a rede de SP era sustentada por
> um link de Internet da Impsat, já nas demais filiais todos os links de
> internet são da EBT. Devido a problemas de latência e perdas de pacotes num
> ponto de troca de trafego entre EBT e Impsat resolvemos adquirir um link de
> internet da EBT para SP.
> Ambos os links estão em um router Cisco 2600.
> 
> Aí que começa o problema, todos os hosts de SP estão configurados com o
> endereçamento ip fornecido pela Impsat, eu tinha decidido fazewr o seguinte,
> deixa uma routa default no cisco para o link da Impsat, e criar rotas
> estáticas para comunicação entre a rede SP com os GW's do Nordeste através
> do link da EBT. O que vem acontecendo é o seguinte, fiz esta configuração no
> Cisco, e notei que os equipamentos de SP perderam conectividade com os
> equipamentos do Nordeste, o estranho é que de dentro do router eu via que a
> comunicação estava ok através de testes de ping e tracert, então resolvi
> fazer o seguinte teste, atribuir um endereço IP da EBT em um host e realizar
> os testes de ping e tracert, tudo perfeito!
> 
> Então o problema é o seguinte, se o host de SP tem IP da Impsat, e forço que
> a comunicação do nordeste seja feita pelo link da EBT, não tenho
> conectividade, mas agora se o host de SP tem IP da EBT e forço a saída pela
> própria EBT tudo funciona perfeitamente!
> 
> Vocês tem idéia do que pode ser, é possível haver alguma ACL ou algo do tipo
> na rede da EBT? Chegaram a me falar sobre anti-spoof, mas desconheço isto!


Imagine que voce e' a Embratel..
Voce tem um cliente que tem o range a.b.c.d/n atribuido a ele (quando 
voce comprou o link, voce nao pediu para que eles fizessem 'transito' 
para rede de outros, concorda ?).
De repente, na porta de entrada do router dele (de frente para voce), 
chega um endereco IP que eles nem sabem que esta do seu lado..
Eles tem o dever civico de dropar este pacote, concorda ?
Nao sei se seria tanto ACL, quanto um puro e simples uRPF, onde eles 
checam se o pacote entrando tem uma rota de volta via aquela mesma 
interface.
Se por outro lado, voce tiver espaco IP "independente de provedor", e 
contratar ambos os provedores para transportar isto (complicacoes a 
parte com SWIP e etc), eles passariam a saber que voce "tem o range 
w.x.y.z/m" e que eles devem aceitar isto no link".
Isto tudo obviamente e' so o caminho "do seu lado para o deles", tem que 
pensar no caminho de volta tambem..